modeldriven是什么 如何检验struts2远程调用漏洞

灵霄玉女2022-11-23 19:02:451329

请问Java编程中,Struts2 和 Struts1 比较,有什么优势和区别呢?struts2给我们提供了什么?学习struts2到底学习他的什么东西??struts2的modeldriven有什么作用?struts2 中action是什么决定的?struts2 modeldriven拦截器配置中refreshmodelbeforeresult解决什么问题?

本文导航

简单介绍struts2框架执行流程

Apache Struts 2即是之前大家所熟知的WebWork 2。在经历了几年的各自发展后,WebWork和Struts社区决定合二为一,也即是Struts 2

Action 类:

Struts1要求Action类继承一个抽象基类。Struts1的一个普遍问题是使用抽象类编程而不是接口。

Struts 2 Action类可以实现一个Action接口,也可实现其他接口,使可选和定制的服务成为可能。Struts2提供一个ActionSupport基类去实现 常用的接口。Action接口不是必须的,任何有execute标识的POJO对象都可以用作Struts2的Action对象。

线程模式:

Struts1 Action是单例模式并且必须是线程安全的,因为仅有Action的一个实例来处理所有的请求。单例策略限制了Struts1 Action能作的事,并且要在开发时特别小心。Action资源必须是线程安全的或同步的。

Struts2 Action对象为每一个请求产生一个实例,因此没有线程安全问题。(实际上,servlet容器给每个请求产生许多可丢弃的对象,并且不会导致性能和垃圾回收问题)

Servlet 依赖:

Struts1 Action 依赖于Servlet API ,因为当一个Action被调用时HttpServletRequest 和 HttpServletResponse 被传递给execute方法。

Struts 2 Action不依赖于容器,允许Action脱离容器单独被测试。如果需要,Struts2 Action仍然可以访问初始的request和response。但是,其他的元素减少或者消除了直接访问HttpServetRequest 和 HttpServletResponse的必要性。

可测性:

测试Struts1 Action的一个主要问题是execute方法暴露了servlet API(这使得测试要依赖于容器)。一个第三方扩展--Struts TestCase--提供了一套Struts1的模拟对象(来进行测试)。

Struts 2 Action可以通过初始化、设置属性、调用方法来测试,“依赖注入”支持也使测试更容易。

捕获输入:

Struts1 使用ActionForm对象捕获输入。所有的ActionForm必须继承一个基类。因为其他JavaBean不能用作ActionForm,开发者经常创建多余的类捕获输入。动态Bean(DynaBeans)可以作为创建传统ActionForm的选择,但是,开发者可能是在重新描述(创建)已经存在的JavaBean(仍然会导致有冗余的javabean)。

Struts 2直接使用Action属性作为输入属性,消除了对第二个输入对象的需求。输入属性可能是有自己(子)属性的rich对象类型。Action属性能够通过web页面上的taglibs访问。Struts2也支持ActionForm模式。rich对象类型,包括业务对象,能够用作输入/输出对象。这种ModelDriven 特性简化了taglib对POJO输入对象的引用。

表达式语言:

Struts1 整合了JSTL,因此使用JSTL EL。这种EL有基本对象图遍历,但是对集合和索引属性的支持很弱。

Struts2可以使用JSTL,但是也支持一个更强大和灵活的表达式语言--"Object Graph Notation Language" (OGNL).

绑定值到页面(view):

Struts 1使用标准JSP机制把对象绑定到页面中来访问。

Struts 2 使用 "ValueStack"技术,使taglib能够访问值而不需要把你的页面(view)和对象绑定起来。ValueStack策略允许通过一系列名称相同但类型不同的属性重用页面(view)。

类型转换:

Struts 1 ActionForm 属性通常都是String类型。Struts1使用Commons-Beanutils进行类型转换。每个类一个转换器,对每一个实例来说是不可配置的。

Struts2 使用OGNL进行类型转换。提供基本和常用对象的转换器。

校验:

Struts 1支持在ActionForm的validate方法中手动校验,或者通过Commons Validator的扩展来校验。同一个类可以有不同的校验内容,但不能校验子对象。

Struts2支持通过validate方法和XWork校验框架来进行校验。XWork校验框架使用为属性类类型定义的校验和内容校验,来支持chain校验子属性

Action执行的控制:

Struts1支持每一个模块有单独的Request Processors(生命周期),但是模块中的所有Action必须共享相同的生命周期。

Struts2支持通过拦截器堆栈(Interceptor Stacks)为每一个Action创建不同的生命周期。堆栈能够根据需要和不同的Action一起使用。

Struts作为MVC 2的Web框架,自推出以来不断受到开发者的追捧,得到用广泛的应用。作为最成功的Web框架,Struts自然拥有众多的优点:

struts2自学入门

虽然Struts2号称是一个全新的框架,但这仅仅是相对Struts 1而言。Struts 2 与Struts 1相比,确实有很多革命性的改进,但它并不是新发布的新框架,而是在另一个赫赫有名的框架:WebWork基础上发展起来的。从某种程度上来讲,Struts2没有继承Struts 1的血统,而是继承WebWork的血统。或者说,WebWork衍生出了Struts2,而不是Struts 1衍生了Struts2。因为Struts2是WebWork的升级,而不是一个全新的框架,因此稳定性、性能等各方面都有很好的保证:而且吸收了Struts 1和WebWork两者的优势,因此,是一个非常值得期待的框架。  Apache Struts2是一个优雅的,可扩展的JAVA EE web框架。框架设计的目标贯穿整个开发周期,从开发到发布,包括维护的整个过程。  Apache Struts 2即是之前大家所熟知的WebWork 2。在经历了几年的各自发展后,WebWork和Struts社区决定合二为一,也即是Struts 2  Struts 2 英文学习网站: http://struts.apache.org/2.0.6/docs/guides.htmlStruts2和Struts1的不同   Action 类:  ◆Struts1要求Action类继承一个抽象基类。Struts1的一个普遍问题是使用抽象类编程而不是接口。  ◆Struts 2 Action类可以实现一个Action接口,也可实现其他接口,使可选和定制的服务成为可能。Struts2提供一个ActionSupport基类去实现 常用的接口。Action接口不是必须的,任何有execute标识的POJO对象都可以用作Struts2的Action对象。  线程模式:

  ◆Struts1 Action是单例模式并且必须是线程安全的,因为仅有Action的一个实例来处理所有的请求。单例策略限制了Struts1 Action能做的事,并且要在开发时特别小心。Action资源必须是线程安全的或同步的。  ◆Struts2 Action对象为每一个请求产生一个实例,因此没有线程安全问题。(实际上,servlet容器给每个请求产生许多可丢弃的对象,并且不会导致性能和垃圾回收问题)  Servlet 依赖:

  ◆Struts1 Action 依赖于Servlet API ,因为当一个Action被调用时HttpServletRequest 和 HttpServletResponse 被传递给execute方法。  ◆Struts 2 Action不依赖于容器,允许Action脱离容器单独被测试。如果需要,Struts2 Action仍然可以访问初始的request和response。但是,其他的元素减少或者消除了直接访问HttpServetRequest 和 HttpServletResponse的必要性。  可测性:  ◆测试Struts1 Action的一个主要问题是execute方法暴露了servlet API(这使得测试要依赖于容器)。一个第三方扩展--Struts TestCase--提供了一套Struts1的模拟对象(来进行测试)。  ◆Struts 2 Action可以通过初始化、设置属性、调用方法来测试,“依赖注入”支持也使测试更容易。  捕获输入:  ◆Struts1 使用ActionForm对象捕获输入。所有的ActionForm必须继承一个基类。因为其他JavaBean不能用作ActionForm,开发者经常创建多余的类捕获输入。动态Bean(DynaBeans)可以作为创建传统ActionForm的选择,但是,开发者可能是在重新描述(创建)已经存在的JavaBean(仍然会导致有冗余的javabean)。  ◆ Struts 2直接使用Action属性作为输入属性,消除了对第二个输入对象的需求。输入属性可能是有自己(子)属性的rich对象类型。Action属性能够通过web页面上的taglibs访问。Struts2也支持ActionForm模式。rich对象类型,包括业务对象,能够用作输入/输出对象。这种ModelDriven 特性简化了taglib对POJO输入对象的引用。  表达式语言:  ◆Struts1 整合了JSTL,因此使用JSTL EL。这种EL有基本对象图遍历,但是对集合和索引属性的支持很弱。  ◆Struts2可以使用JSTL,但是也支持一个更强大和灵活的表达式语言--"Object Graph Notation Language" (OGNL).  绑定值到页面(view):  ◆ Struts 1使用标准JSP机制把对象绑定到页面中来访问。  ◆Struts 2 使用 "ValueStack"技术,使taglib能够访问值而不需要把你的页面(view)和对象绑定起来。ValueStack策略允许通过一系列名称相同但类型不同的属性重用页面(view)。  类型转换:  ◆Struts 1 ActionForm 属性通常都是String类型。Struts1使用Commons-Beanutils进行类型转换。每个类一个转换器,对每一个实例来说是不可配置的。  ◆Struts2 使用OGNL进行类型转换。提供基本和常用对象的转换器。  校验:  ◆Struts 1支持在ActionForm的validate方法中手动校验,或者通过Commons Validator的扩展来校验。同一个类可以有不同的校验内容,但不能校验子对象。  ◆Struts2支持通过validate方法和XWork校验框架来进行校验。XWork校验框架使用为属性类类型定义的校验和内容校验,来支持chain校验子属性  Action执行的控制:  ◆Struts1支持每一个模块有单独的Request Processors(生命周期),但是模块中的所有Action必须共享相同的生命周期。  ◆Struts2支持通过拦截器堆栈(Interceptor Stacks)为每一个Action创建不同的生命周期。堆栈能够根据需要和不同的Action一起使用。

struts2完整配置

您好,实现了ModelDriven就必须实现getModel这个方法,该方法返回的是你的ModelDrivern泛型中设定的实体类。其实是为了实现代码的重用,不要再定义一次你在数据访问层定义的属性了,直接用那个类就行了。不过有时候也不是很需要这个东西,比如只有一两个表单域的时候。

struts2请求步骤

  struts2 中action是通过struts.xml配置文件来实现的。

Struts2中Action接收参数的方法主要有以下三种:

1.使用Action的属性接收参数:

a.定义:在Action类中定义属性,创建get和set方法;

b.接收:通过属性接收参数,如:userName;

c.发送:使用属性名传递参数,如:user1!add?userName=Magci;

2.使用DomainModel接收参数:

a.定义:定义Model类,在Action中定义Model类的对象(不需要new),创建该对象的get和set方法;

b.接收:通过对象的属性接收参数,如:user.getUserName();

c.发送:使用对象的属性传递参数,如:user2!add?user.userName=MGC;

3.使用ModelDriven接收参数:

a.定义:Action实现ModelDriven泛型接口,定义Model类的对象(必须new),通过getModel方法返回该对象;

b.接收:通过对象的属性接收参数,如:user.getUserName();

c.发送:直接使用属性名传递参数,如:user2!add?userName=MGC

如何检验struts2远程调用漏洞

  所谓ModelDriven,意思是直接把实体类当成页面数据的收集对象。比如,有实体类User如下:

  package cn.com.leadfar.struts2.actions;

  public class User {

  private int id;

  private String username;

  private String password;

  private int age;

  private String address;

  public String getUsername() {

  return username;

  }

  public void setUsername(String username) {

  this.username = username;

  }

  public String getPassword() {

  return password;

  }

  public void setPassword(String password) {

  this.password = password;

  }

  public int getAge() {

  return age;

  }

  public void setAge(int age) {

  this.age = age;

  }

  public String getAddress() {

  return address;

  }

  public void setAddress(String address) {

  this.address = address;

  }

  public int getId() {

  return id;

  }

  public void setId(int id) {

  this.id = id;

  }

  }

  

  假如要写一个Action,用来添加User。

  第一种做法是直接在Action中定义所有需要的属性,然后在JSP中直接用属性名称来提交数据:

  UserAction:

  public class UserAction {

  private int id;

  private String username;

  private String password;

  private int age;

  private String address;

  public String add(){

  User user = new User();

  user.setId(id);

  user.setUsername(username);

  user.setPassword(password);

  user.setAge(age);

  user.setAddress(address);

  new UserManager().addUser(user);

  return "success";

  }

  public int getId() {

  return id;

  }

  public void setId(int id) {

  this.id = id;

  }

  public String getUsername() {

  return username;

  }

  public void setUsername(String username) {

  this.username = username;

  }

  public String getPassword() {

  return password;

  }

  public void setPassword(String password) {

  this.password = password;

  }

  public int getAge() {

  return age;

  }

  public void setAge(int age) {

  this.age = age;

  }

  public String getAddress() {

  return address;

  }

  public void setAddress(String address) {

  this.address = address;

  }

  }

  

  add_input.jsp:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:add">

  username:<input type="text" name="username"> <br/>

  password:<input type="text" name="password"> <br/>

  age:<input type="text" name="age"> <br/>

  address:<input type="text" name="address"> <br/>

  <input type="submit" name="submit" value="添加用户">

  </form> <br/>

  

  上述做法不好之处是:如果实体类的属性非常多,那么Action中也要定义相同的属性。

  第二种做法是将User对象定义到UserAction中,然后在JSP中通过user属性来给user赋值:

  UserAction:

  public class UserAction {

  private User user;

  public String add(){

  new UserManager().addUser(user);

  return "success";

  }

  public User getUser() {

  return user;

  }

  public void setUser(User user) {

  this.user = user;

  }

  }

  

  add_input.jsp:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:add">

  username:<input type="text" name="user.username"> <br/>

  password:<input type="text" name="user.password"> <br/>

  age:<input type="text" name="user.age"> <br/>

  address:<input type="text" name="user.address"> <br/>

  <input type="submit" name="submit" value="添加用户">

  </form> <br/>

  

  这种做法不好的地方是:JSP页面上表单域中的命名变得太长

  第三种做法是利用ModelDriven机制,让UserAction实现一个ModelDriven接口,同时实现接口中的方法:getModel()。如下所示:

  public class UserAction implements ModelDriven{

  private User user;

  @Override

  public Object getModel() {

  if(user == null){

  user = new User();

  }

  return user;

  }

  public String add(){

  new UserManager().addUser(user);

  return "success";

  }

  public User getUser() {

  return user;

  }

  public void setUser(User user) {

  this.user = user;

  }

  }

  

  JSP的代码如下:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:add">

  username:<input type="text" name="username"> <br/>

  password:<input type="text" name="password"> <br/>

  age:<input type="text" name="age"> <br/>

  <input type="submit" name="submit" value="添加用户">

  </form> <br/>

  

  可见,第三种做法是比较好的,Action和JSP写起来都比较简单。

  2.ModelDriven背后的机制?

  ModelDriven背后的机制就是ValueStack。界面通过:username/age/address这样的名称,就能够被直接赋值给user对象,这证明user对象正是ValueStack中的一个root对象!

  那么,为什么user对象会在ValueStack中呢?它是什么时候被压入ValueStack的呢?答案是:ModelDrivenInterceptor(关于Interceptor的概念,请参考后续章节的说明)。ModelDrivenInterceptor是缺省的拦截器链的一部分,当一个请求经过ModelDrivenInterceptor的时候,在这个拦截器中,会判断当前要调用的Action对象是否实现了ModelDriven接口,如果实现了这个接口,则调用getModel()方法,并把返回值(本例是返回user对象)压入ValueStack。

  请看ModelDrivenInterceptor的代码:

  public class ModelDrivenInterceptor extends AbstractInterceptor {

  protected boolean refreshModelBeforeResult = false;

  public void setRefreshModelBeforeResult(boolean val) {

  this.refreshModelBeforeResult = val;

  }

  @Override

  public String intercept(ActionInvocation invocation) throws Exception {

  Object action = invocation.getAction();

  if (action instanceof ModelDriven) {

  ModelDriven modelDriven = (ModelDriven) action;

  ValueStack stack = invocation.getStack();

  Object model = modelDriven.getModel();

  if (model != null) {

  stack.push(model);

  }

  if (refreshModelBeforeResult) {

  invocation.addPreResultListener(new RefreshModelBeforeResult(modelDriven, model));

  }

  }

  return invocation.invoke();

  }

  

  从ModelDrivenInterceptor中,即可以看到model对象被压入ValueStack中!

  其中的refreshModelBeforeResult是为了接下来描述的一个问题而提供的解决方法。

理解常见的陷阱及解决办法

  假设我们要更新一个实体对象,那么第一步首先是打开更新界面,请看下述模拟打开更新界面的代码:

  public class UserAction implements ModelDriven{

  private User user;

  @Override

  public Object getModel() {

  if(user == null){

  user = new User();

  //user.setUsername("这是原来的User对象");

  }

  return user;

  }

  public String updateInput(){

  //根据ID,查询数据库,得到User对象

  user = new UserManager().findUserById(user.getId());

  return "update_input";

  }

  

  上述代码中,new UserManager().findUserById(user.getId());这一行,将从数据库中查询相应的记录,同时转换为User对象返回。而return “update_input”;将转向更新显示页面。

  更新页面如下:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:update">

  id:<input type="text" name="id" value="<s:property value="id"/>"> <br/>

  username:<input type="text" name="username" value="<s:property value="username"/>"><br/>

  password:<input type="text" name="password" value="<s:property value="password"/>"><br/>

  age:<input type="text" name="age" value="<s:property value="age"/>"> <br/>

  address:<input type="text" name="address" value="<s:property value="address"/>"><br/>

  <input type="submit" name="submit" value="更新用户">

  </form> <br/>

  

  上述代码运行起来之后,你在更新界面上将看不到数据(id属性有值,其它属性无显示)。关键的原因是在执行到updateInput之前,user对象(在getMode()方法中创建的对象)被压到ValueStack中,这时候,UserAction和ValueStack都指向同一个user对象;但紧接着,UserAction中的user被一个新的user对象覆盖,这时候,UserAction和ValueStack不再指向同一个user对象!ValueStack中是旧的user对象,而UserAction中是新的user对象!我们在JSP中,直接通过username/address等直接访问,当然是要访问ValueStack中的旧user对象,所以它们的属性都是空的(id属性除外)!

  理解上述问题很重要,当你理解了问题,那么问题的解决方法就可以有很多了:

  比如,你可以把新对象的属性拷贝到旧对象上;比如,你可以先把旧对象从ValueStack中移除,然后再把新对象压入ValueStack等……

  在最新的struts2版本中,ModelDrivenInterceptor提供了一个配置参数:refreshModelBeforeResult,只要将它定义为true,上述问题就被解决了!struts2的解决方案就是:先把旧的model对象从ValueStack中移除,然后再把新的model对象压入ValueStack!

扫描二维码推送至手机访问。

版权声明:本文由尚恩教育网发布,如需转载请注明出处。

本文链接:https://www.shane-english.com.cn/view/68704.html

标签: 生活
分享给朋友:

“modeldriven是什么 如何检验struts2远程调用漏洞” 的相关文章

春节假期安排 春节假期推迟几天

春节假期安排 春节假期推迟几天

春节假期2021放假几天,春节假期有多久,春节假期如何安排?本文导航明年春节放假安排几天春节假期推迟几天春节假期怎样度过的明年春节放假安排几天2021年春节估计从2021年2月6日至2021年2月21日放假 2月22日上班春节假期推迟几天国家规定春节放7天假期。春节期间放假安排都是从除夕到正月初六,...

洛阳理工学院吧 洛阳理工学院的专科好不好

洛阳理工学院吧 洛阳理工学院的专科好不好

洛阳理工学院有体育系,洛阳理工学院(洛阳大学)和商丘工学院这两个学校哪个好!我不知道该选择哪个??,洛阳理工学院真是有网上说得那么不堪吗?洛阳理工学院咋样,谁知道洛阳理工学院怎么样?洛阳理工学院怎么样?本文导航太原理工大学体育生有哪些专业河南理工大学和洛阳理工学院排名洛阳理工学院哪个校区最好洛阳理工...

四字座右铭 初一学生座右铭大全

四字座右铭 初一学生座右铭大全

中学生四字座右铭,四字座右铭有什么?四个字座右铭,四字人生格言座右铭,4字格言座右铭,四字座右铭励志简短的有哪些。本文导航初一学生座右铭大全什么样的座右铭最好四个字座右铭简短霸气经典人生格言座右铭大全有关座右铭的格言最简短霸气的座右铭大全初一学生座右铭大全中学生四字座右铭有:1、自强不息自强不息是一...

职业价值观有哪些 职业价值观选择的意义

职业价值观有哪些 职业价值观选择的意义

职业价值观有哪些 职业价值观分析,职业价值观有哪些,职业价值观具体有哪些,职业价值观具体指什么?有哪些类型?写出你的职业价值观,并列出那些职业或者岗位能满足你的职业价值观,职业价值观分析是什么?本文导航职业价值观选择的意义八种职业价值观有哪些八种职业价值观有什么职业价值观包括哪些方面如何全面的分析职...

太原工业学院是几本 太原工业学院在山西算好二本吗

太原工业学院是几本 太原工业学院在山西算好二本吗

太原工业学院是几本,为什么太原工业学院在山西省是二本A类院校(2A)而不是二本B类院校(2B)?请问太原工业学院是二本还是三本,太原工业学院是几本的,山西专升本哪个学校升学率高,太原工业学院是好二本吗?本文导航太原工业学院在山西算好二本吗太原工业学院二本费用太原工业学院是应用型本科吗太原工业学院是什...

常德女子外语学校 常德哪个外语学校最好

常德女子外语学校 常德哪个外语学校最好

常德女子外语学校到底好不好啊?一人一个说法,都不晓得怎么办哒?常德女子外语学校的学校荣誉,常德女子外语学校的介绍,常德女子外语学校的学校概况,常德女子外语学校的学校特色,常德女子外语学校开学需要带着些什么?本文导航常德中山外语职业学校好不好常德中山外语职业学校有多大常德中山外语职业学校常德哪个外语学...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。